| Autor | Zpráva | ||
|---|---|---|---|
| Doominick Profil * |
#1 · Zasláno: 10. 5. 2019, 14:43:16
Pěkné odpoledne
Znáte stránku (Bacha na to, to * je tam schválně) h*tps://superlogout.com ? Totiž ona vás, jak název říká, odhlásí ze všech velkých webů. Proto neklikat, pokud nemáte náladu se přihlašovat znovu a znovu dokola. Případně s pornomódem, nebo si vypněte javascript, pak je to bezpečné. A mě napadlo, je to bug, nebo feature? Funguje celkem jednoduše, navštíví na daných stránkách všechny "logout" adresy, javascriptem na pozadí stránky. Divím se, že to GitHub, Wikipedia, Google, Amazon, a desítky dalších umožní. Měl by se webmaster proti něčemu takovému bránit (jistě by to nějak šlo), nebo je to feature a má to webmaster umožnit a nedělat obstrukce? |
||
| Mlocik97 Profil |
#2 · Zasláno: 10. 5. 2019, 14:47:58
Doominick:
featura |
||
| Keeehi Profil |
#3 · Zasláno: 10. 5. 2019, 17:04:07
Doominick:
Tak pokud bychom to brali jako zranitelnost tak se jedná o klasické CSRF. Obrana by proti tomu byla jako proti jakémukoli jinému CSRF útoku - generovat unikátní adresu pro odhlášení pro každého uzivatele. Prostě tam přidat nějaký token, který se bude ověřovat. Jelikož následek takového "útoku" je pouhé odhlášení uživatele nedá se to asi moc považovat za bezpečnostní hrozbu. Tudíž to prostě nikdo neřeší. Ty služby by to teoreticky začaly řešit až v okamžiku, kdy by se takový script rozšířil na spoustu různých webů a uživatele těch daných služeb by to začalo otravovat. To se ale zřejmě nikdy nestane. |
||
|
Časová prodleva: 5 let
|
|||
0